Malware, phishing, attacchi DDoS… Tutte minacce quasi all’ordine del giorno per chi si occupa di sicurezza IT in azienda. E proprio perché sono minacce evidenti e di cui si parla molto, sono anche minacce per cui ci si prepara. Ma secondo diversi osservatori ci sono altri tipi di pericoli che minacciano la tutela dei dati aziendali. Non sono necessariamente più nuovi o più evoluti tecnicamente degli altri, semplicemente sono meno di tendenza (alcuni esistono da sempre) e per quello ci si pensa di meno.
La cifratura debole
Le aziende sentono parlare di cifratura da anni, ne hanno compreso la validità e cercano di applicarla dove possibile. Il problema è che spesso lo fanno nella maniera sbagliata o solo parzialmente. Ad esempio: il concetto della cifratura dei dati in transito è ben recepito, ma poi i dati tutelati mentre sono in viaggio non sono cifrati “at rest”, il che impedisce di sfruttare il massimo valore della cifratura.
Ci sono poi fattori procedurali che indeboliscono i sistemi di cifratura. Ad esempio molte aziende hanno una gestione lacunosa delle chiavi di encryption, perché le affidano a troppe persone o le conservano sullo stesso sistema che ospita anche i dati cifrati. Ci vuole una strategia anche in questo campo.
Il malvertising
Il malvertising è la presenza su siti leciti di banner o annunci pubblicitari “ostili”, che se cliccati possono portare il malcapitato utente su siti che leciti non sono o, in casi peggiori, cercano di attivare lo scaricamento di malware. Ci sono anche banner che cercano di farlo anche semplicemente visualizzandoli, senza che venga eseguita alcuna azione.
Di malvertising se ne è parlato parecchio negli ultimi anni, meno di recente perché ormai sono rari i casi eclatanti di siti famosi infettati da malvertising. Anche se resta relativamente facile inserire pubblicità-malware aggirando i sistemi di controllo delle concessionare di pubblicità online, gli attaccanti hanno capito che è più pratico infettare siti che non eseguono grandi controlli sui banner ma che hanno comunque molti visitatori, come quelli di file-sharing.
La gestione dei dati sui dispositivi mobili
È un rischio sottovalutato dagli utenti, di cui quasi sempre i responsabili della sicurezza aziendale sono ben consci senza poterci fare però molto. I dipendenti, e in generale ormai tutti coloro che hanno uno smartphone o un tablet, vogliono fare sempre più cose con i loro device senza però che su di essi possa essere applicata una forma di sicurezza robusta. Anche perché magari questi dispositivi servono per lavoro ma anche per la propria vita personale.
Così i dati aziendali e quelli personali sono sempre più “mobilizzati” in dispositivi che raramente sono progettati per una gestione sicura delle informazioni. Le piattaforme software per tutelare i dati in questi scenari ovviamente ci sono, di solito però sono usate solo da aziende di grandi dimensioni.
I malware fileless
Di norma un malware risiede, anche se magari il più possibile nascosto, sul computer-bersaglio. Può essere un malware completo o un documento che contiene macro o script pericolosi. Poi ci sono invece i malware fileless, detti così perché non si trovano su disco e quindi non sono rilevati dai software di sicurezza che cercano le firme dei malware. Ma se non sono du disco, dove sono? Direttamente nella memoria RAM del computer, nei registri di sistema o in qualche area di servizio simile.
Ci sono vari modi per inserire codice “ostile” direttamente nella memoria di sistema. In questo modo gli hacker ostili possono ad esempio caricare sul computer-bersaglio codice da far eseguire a PowerShell, che fa parte di Windows come componente lecito. E il raggio d’azione di PowerShell è davvero molto ampio, quindi un computer infettato da un malware fileless rappresenta un forte punto di vulnerabilità per tutta la sua rete.
Internet of Things
Più che di minaccia sottovalutata bisognerebbe in questo caso parlare di minaccia poco conosciuta. Eppure ci sono già stati diversi casi di attaccanti che in qualche modo sono riusciti a inserirsi nei sistemi di controllo industriale per poi passare alla rete informatica aziendale. A parte la protezione delle infrastrutture critiche, che è un tema assodato, la tutela delle nuove reti di smart thing è ancora un concetto poco chiaro.
Il problema spesso è legato alla progettazione stessa dei device smart, che non prevede particolari sistemi di sicurezza e controllo degli accessi. Molti dei prodotti che stanno diventando “intelligenti” e che sono destinati al mercato consumer, come ad esempio gli oggetti da Smart Home, non sono inoltre pensati per essere aggiornati. Eventuali loro vulnerabilità serie non potrebbero quindi mai essere risolte.
I tool di sviluppo
Nell’era di DevOps e dello sviluppo “agile”, può capitare che per creare applicazioni più rapidamente gli sviluppatori, specie quelli meno esperti e meno preparati sui temi della sicurezza, utilizzino ambienti di sviluppo, widget e componenti di cui non hanno verificato la provenienza. A volte questi strumenti non sono abbastanza sicuri e permettono la compromissione delle applicazioni che generano. Altre volte, nei casi peggiori, i componenti sono stati prodotti a bella posta da hacker ostili.
Ci sono già stati diversi casi di sviluppatori anche noti che hanno involontariamente distribuito versioni “bucate” delle loro applicazioni, che poi sono state usate come veicolo di attacco verso i computer che le eseguivano. In altri casi i vettori di attacco erano i tool di sviluppo stessi, che sono stati usati come “ponte” per entrare nelle reti delle software house.
Gli attacchi “evil maid”
La “cameriera malvagia” della definizione è in realtà una figura assolutamente più generica: è chiunque abbia fisicamente accesso al nostro computer in un momento in cui lo abbiamo lasciato acceso e non protetto da password o da qualche altro sistema di blocco. Può davvero essere la cameriera di un albergo, come vuole la definizione, ma i possibili attaccanti sono molti di più. Ovviamente non si tratta di un pericolo nuovo per la sicurezza, ma è un fattore di rischio oggi molto più elevato perché è molto più diffusa l’abitudine di avere con sé un portatile anche in luoghi pubblici.
Chi ha accesso non limitato al nostro portatile può fare tutto quello che facciamo noi, quindi ha il massimo spazio di manovra per estrarne direttamente informazioni o installarvi qualche malware per accedere al computer da remoto, poi, con calma. Di solito non ci si accorge di queste violazioni perché il computer non viene rubato e lo troviamo come lo abbiamo lasciato (o così sembra).
Il fattore umano
È un grande classico che non va mai fuori moda, verrebbe da dire. Non è un fattore di rischio sottovalutato ma ha una importanza crescente per le evoluzioni stesse della nostra società. Vivere sempre più connessi e immersi nella tecnologia fa perdere il senso della privacy e fa scomparire il ruolo della tecnologia stessa, che le aziende cercano di rendere più trasparente. La conseguenza è che non si percepisce bene la questione cybersecurity fino a quando non ci si trova in mezzo, di solito perché è successo qualcosa di spiacevole.
Serve formazione sui temi della sicurezza come e più che in passato, per i dipendenti ma anche in generale. I dati ormai sono pervasivi e tutto quello che facciamo è online: due realtà che di per sé non sono negative ma di cui bisogna comprendere le implicazioni in termini di sicurezza.
